FighterPOS的功能跟我們過去所看到的其他PoS惡意軟體家族類似。它可以收集信用卡磁軌1,磁軌2和CVV碼。該惡意軟體還包含記憶體擷取功能,這在許多PoS惡意軟體家族中都很常見。此外,它的鍵盤側錄功能讓攻擊者可以側錄受感染終端上的按鍵紀錄。
趨勢科技已經確認一個銷售終端(PoS- Point of Sale)惡意軟體家族:「FighterPOS」影響了超過100家的巴西受害組織。這波個人行動已經竊取了超過22,000筆不重複的信用卡號碼。
其作者似乎在卡片、支付詐騙和惡意軟體製造上有很長的歷史;此外,我們認為此惡意軟體作者是獨立運作,沒有任何同夥協助。FighterPOS 並不便宜,目前售價是18比特幣(約為5,250美元)。然而,它有精心設計的控制台且支援多種功能,對攻擊者來說具有相當的誘因。
本文中會概述 FighterPOS 的行為,相關報告 – 「FighterPOS:新POS惡意軟體攻擊活動的解析和運作」會提供更多技術細節。
購買
乍一看,此廣告並非特別不尋常。引起我們的興趣的是廣告和其惡意軟體支援功能的專業性質。
圖1、銷售FighterPOS的廣告
端點銷售:端點受駭
2014年的端點銷售(PoS)惡意軟體攻擊呈現巨大的跳躍,不管是數量上、素質上或危害的範圍。這些惡意作品通常是指PoS記憶體擷取程式,設計用來入侵進行銷售交易的業務用終端機。
經常有著數以千萬計的支付用卡片資料被竊,有時是一次攻擊行動就能造成。這些卡片資料接著會賣往地下世界的卡片論壇,它們在那被用來進行詐騙性購物、轉帳或提款。這些大規模的搶案已經成為分布全球地下卡片經濟的供應鏈骨幹。
它們如何運作?
當付款終端機在交易中處理你的信用卡資料時,在多數情況下它都是安全的加密、儲存和傳輸。然而,當資料在終端機內使用,交易發生的當下,它在終端機記憶體內以明碼的形式處理。PoS記憶體擷取程式是攻擊者設計用來檢查終端機內執行程序用記憶體及提取支付卡資料以供將來批量取回。也因為如此,PoS終端機變成了更具吸引力的犯罪對象;一次得逞的攻擊可以讓惡意份子賺到遠比傳統攻擊個別消費者要更多的錢。
為什麼 2014是指標性的一年?
如同2014年度安全綜合報告內所述,「損失的增加,也擴大了為網路攻擊作好準備的需求」,很簡單,在2014年看到了犯罪重心放到這領域呈現顯著地上升。在2009到2013年間,總共看到7種不同的PoS惡意軟體家族;即RawPOS、Rdasrv、Alina、Dexter、BlackPOS、Chewbacca和VSkimmer。 繼續閱讀
三月初世界行動通訊大會在巴賽隆納舉行,趨勢科技的執行長陳怡樺以傑出的技術領導者身分出席此會議。來自世界各地的專家和從業人員齊聚一堂討論市場上最新及未來的行動創新,不過重要的是記住網路風險也隨之而來,及如何去對抗常見威脅以保護你的行動裝置和寶貴的資料。我們列出五種網路犯罪分子可能對物聯網(IoT ,Internet of Things)進行的攻擊,以及你可以做些什麼來減輕這風險。
風險
監聽攻擊。這種攻擊會用到監聽程式(sniffer),竊聽任何透過網路傳送的未加密資訊再加以竊取。
阻斷服務攻擊。網路犯罪分子利用這種攻擊來封鎖或阻慢對某些網路或設備的使用。
金鑰淪陷攻擊。在此類攻擊中,用來加密通訊的金鑰被竊,被用於解譯加密過的資料。
基於密碼的攻擊。網路犯罪分子利用這類攻擊來入侵網路或連到特定網路的設備。主要是經由猜測或竊取密碼。
中間人攻擊。在此種攻擊中,第三者會竊走雙方或設備間傳輸的資料。 繼續閱讀
我們在巴賽隆納的世界行動通訊大會Mobile World Congress),簡稱MWC,和業界領袖、先驅及創新者一同討論行動科技的未來。能夠看到革命性的想法以及物聯網(IoT ,Internet of Things)產品很令人興奮。不過重要的是要記住,在一切變得更加方便及舒適時,我們也要準備好面對它們可能帶來的網路風險。我們對於網路安全的熱情驅使著我們提醒出席者記住:
智慧型設備廠商必須將網路安全列為優先。開發人員和廠商能夠認識到自己的產品可能成為網路犯罪目標是很重要的。趨勢科技不停地去創新、開發和改善我們的安全產品及服務以保護使用者,而智慧型設備能夠盡可能地將安全放在第一位也是同樣的重要。我們提醒所有的行動裝置廠商在開發產品時要將良好的安全實作放在心上,同時要定期地加以測試和更新,以確保它們在面對新威脅時一樣安全。
為防護物聯網建立政策是關鍵。聯邦貿易委員會主席Edith Ramirez一月在消費性電子展上談到要為公司建立政策「以增強消費者的隱私和安全,從而讓消費者能夠信賴物聯網設備」。她建議的三個步驟包括:
採用安全的設計
我們相信,透過建立書面政策及加以堅持,將開始讓網路安全融入公司文化,成為開發新技術時的首要考量點。 繼續閱讀
2014年是PoS(銷售終端)威脅倍受矚目的一年。沒錯,PoS威脅已經存在多年了。但去年一月的Target資料外洩事件讓普羅大眾注意到此種威脅。
2014:PoS惡意軟體的一年
雖然Target資料外洩事件可能是2014年第一起和銷售終端有關的攻擊,但很快地我們就清楚地知道這並非最後一起。到去年第三季為止,出現了六個PoS記憶體擷取惡意軟體,這跟2011年到2013年間所發現的變種總數一樣。
更讓人感興趣的是,這些新變種不是借用早期版本的功能,就是直接從舊版PoS記憶體擷取惡意軟體家族演進而來。例如,BackOff是Alina的前身。BackOff據報導曾被用在針對Dairy Queen和UPS的攻擊中。
但它們並非唯一在2014年活躍的變種。備受矚目的Home Depot外洩事件跟一個被稱為BlackPoS的知名PoS惡意軟體家族有關。這也是用在Target資料外洩事件中的惡意軟體家族。PoS惡意軟體還出沒在美國的感恩節周末,這是有名的購物假期。另一個被稱為LusyPoS的銷售終端惡意軟體則出現在俄羅斯地下論壇。
在地下世界的PoS相關活動
由於PoS記憶體擷取程式漸漸地被大量做為快速賺錢的工具,開發套件也開始在網路犯罪地下世界浮出檯面。其中一個是VSkimmer,在2013年出現用來打造PoS記憶體擷取程式的工具。
透過記憶體擷取程式竊取信用卡資料後,多數詐騙份子接著會在論壇上批次出售偷來的信用卡資料。交易都是使用比特幣、西聯匯款、MoneyGram、Ukash或WebMoney等完成,因為這些方式提供買賣雙方便利性和匿名性。
就跟一般產業一樣,供需問題會大大的影響地下世界。不同的信用卡根據需求和供給狀況而在地下卡片市場有著不同的單位價格。一次性大量購買信用卡資料通常都有折扣,在某些例子中甚至可以拿到高達66%的折價。
一個有意思的發現是Discover和美國運通(AMEX)卡的單價比Visa和MasterCard卡高。這是因為AMEX和Discover卡的資料跟較通用的Visa和MasterCard卡比起來更難看到;少見的資料價格較高。不過並沒有明確原因顯示出AMEX和Discover卡資料會比Visa和MasterCard卡資料來的更有利可圖。
擴大目標
PoS攻擊也在2014年擴大其目標範圍。詐騙份子走出了購物中心,開始攻擊像機場、地鐵站和停車場等新目標。
資安公司Census的研究人員展示關於針對機場旅客的PoS攻擊資料。Census將PoS的定義延伸到機場的自助登機服務站、無線網路服務站、行李定位服務站等。研究人員可以發動簡易的攻擊以從這些自助服務機台擷取旅客的資料。資安公司IntelCrawler談論到一個稱為「d4re| DEV1|」(daredevil)的PoS惡意軟體,它的目標是大眾運輸系統的車站。該惡意軟體具備遠端管理、遠端更新、記憶體擷取和鍵盤側錄等功能。
停車場也成為詐騙份子竊取付費資訊的熱門目標。一家美國的停車場管理廠商有17座停車場的付費處理系統受到入侵。另一家泊車服務公司Park’N Fly也發生資料外洩事件,被竊走的資料出現詐騙事件裡。另一家服務onestopparking.com也成為Target和Home Depot資料外洩事件幕後網路犯罪集團的受害者。
PoS攻擊的未來
那PoS攻擊的未來會是什麼? 繼續閱讀
